Entrevista com Tiago Henriques por David Sopas www.websegura.

net David Sopas: Fala-me um pouco de ti e como decidiste seguir a rea da segurana de informao como rumo profissional. Tiago Henriques: O meu nome Tiago Henriques, tenho24 anos e trabalho de momento para a Sysvalue, enquanto que no meu tempo livre lidero a PTCoreSec. O meu interesse por Infosec veio j um bocado tarde na minha opinio (16/17 anos). Sempre gostei imenso de programao, mas chegou a um ponto em que achei mais interessante ver como poderia partir coisas e depois tentar consertar, perceber como funcionavam internamente e o que poderia ser melhorado. Quando fiz 18 anos, estava no fim do meu 12 ano e estava um bocado cansado de estar aqui no pas, vivia numa cidade pequena (Lagos) e resolvi que precisava de uma mudana de ar. Concorri a uma faculdade em Inglaterra (University of Brighton) e acabei por ser aceite num BSc Software Engineering, que completei em 3 anos. No vero desse ultimo ano, fui a Las Vegas Defcon e foi ento que decidi que queria tambem fazer um mestrado. Desta vez j focado em Infosec, passei para outra faculdade (University of Bedfordshire) onde fiz um MSc by Research in Information Security and Forensics e comecei a dar aulas aos alunos de licenciaturas (nesta altura tinha eu 21 anos). Quando estava quase a terminar o meu mestrado (23 anos), foi-me oferecida uma proposta para fazer um doutoramento com bolsa, que inicialmente aceitei (e onde permaneci 3 meses). No entanto ao fim desses 3 meses percebi que no era bem aquilo que queria e resolvi ir para a industria. Foi ento que entrei para a Realex payments na Irlanda e trabalhei ao lado do @SecurityNinja a fazer auditorias de cdigo. Passado algum tempo, infelizmente, foi-me diagnosticado um cancro no trax e tive que voltar para Portugal. Fiz os meus tratamentos e no final resolvi ficar por c - foi ento que entrei para a empresa onde trabalho agora, a Sysvalue. DS: Que rea da segurana de informao desperta-te mais curiosidade? TH: De momento tenho 2 reas principais que me do mais "pica" em Segurana: Descoberta de vulnerabilidades e desenvolvimento de exploits, reverse engineering e fuzzing. - Segurana de redes (netsec) e port-scanning( A nvel de um pas completo ou continente, protocolos mais vulnerveis etc...)

DS: Quem so os PTCoreSec? Qual o objetivo do grupo? TH: A PTCoreSec um projecto criado por mim e pelo Tiago Martins no ano passado, quando resolvemos que queriamos ter um grupo decente para poder trabalhar nesta rea (uma espcie de think tank), com qual iriamos desenvolver ferramentas, publicar artigos e principalmente APRENDER mais, de maneira a evoluirmos nesta rea. No fazemos nada ilegal, e queremos apenas (como diz no nosso site): Aficionados por segurana Portugueses Interessados em partilha de conhecimentos.

A ultima parte passa pela partilha de todo o cdigo fonte das nossas ferramentas que temos escrito e pela criao de tutoriais que so acessveis a qualquer tipo de publico (tcnico ou no tcnico). DS: Os PTCoreSec, atrves dos seus membros, tm presena ativa em eventos realizados no nosso pas. Tm recebido algum feedback? TH: Temos recebido bom feedback, as pessoas visitam o nosso site regularmente - temos de momento 9430 visitas de ips nicos, o que para ns bom. Depois do CTF no just4meeting, recebemos bons comentrios e, quando damos release dos videos da confraria, temos uma mdia de 40 pessoas a verem a pgina. Gostvamos de poder fazer mais (criao de um podcast nacional por exemplo), mas sem patrocnio todos os custos monetrios saem do nosso bolso e ento as vezes torna-se complicado. DS: A comunidade de segurana informtica em Portugal ativa? Temos bons profissionais? TH: Parte da comunidade de segurana em Portugal BASTANTE activa, no entanto a outra parte est completamente parada. J h uns dias mandei um rant no qual me queixava que precisamos que outras pessoas se mexam, que se levantem e falem na confraria, ningum morde! Se formos ver a lista de speakers do ltimos 6 meses vemos l imensos nomes repetidos (o meu inclusive porque j falei na confraria 3 vezes este ano). Precisamos de uma maior diversidade de speakers e precisamos de comear a avanar para outros nveis, como a criao de uma conferncia de segurana nossa c em Portugal ( isto j est a ser tratado por mim e pelo Bruno Morisson, se tudo correr bem para o ano j teremos uma Bsides Lisbon 2013). Espero tambm ver um avano na AP2SI, uma boa iniciativa e espero que publiquem e avancem com algo que de momento me parece que estagnou! importante perceber que esta rea, para alguns de n,s no apenas um trabalho das 9-5, uma paixo (um modo de vida at) e que precisamos de mais gente assim, no s consultores que fazem o seu trabalho no horrio definido mas tambm que as empresas metam o seu pessoal a fazer investigao e publiquem esta investigao. Temos c pessoal MUITO bom e que j no passado publicaram trabalho espectacular (exemplo: Lus Grangeia e o trabalho feito pelo Dan Kaminsky http://www.wired.com/politics/security/news/2005/11/69573?currentPage=all). Ns temos o potencial para ser melhor que muitos l fora. Investigao na nossa rea no requer muito dinheiro, requer apenas pessoal com paixo e dedicao (e a tenho de louvar os membros da minha equipa, todos eles se esforam e queimam as suas pestanas para podermos sempre lanar algo e no so pagos 1 tosto por todo o trabalho que fazem. de louvar tambm o websegura, precisamos de mais gente como tu David ). difcil ? Sim ! J muitas pessoas me disseram que falar fcil e que temos que trabalhar - eu tambm trabalho, entro as 9/9:30 e saio quase todos os dias do trabalho as 6:30/7, chego a casa e, como em todas as casas, h sempre coisas para fazer. Adicionalmente, fico at s 3 da manh todos os dias a trabalhar em coisas da PTCoreSec. Isto para dizer que quem corre por gosto no cansa e o que precisamos de momento mais pessoal que GOSTE da rea e no do dinheiro associado a ela. DS: Com o pas a atravessar uma poca dificil, achas que as empresas portuguesas apostam menos na segurana de informao? TH: Isto foi um tpico que discuti com algum pessoal no twitter h uns tempos atrs e a opinio geral que, apesar de estarmos numa crise, as empresas de segurana informtica continuam em grande. Basta reparar que somos das poucas reas que ainda anda a contratar pessoal enquanto outras esto a despedir. No entanto, na minha opinio, a parte difcil de contratar em infosec no a falta de trabalho, mas a falta de profissionais qualificados para realizarem esse trabalho.

DS: Portugal est preparado para combater ataques a infra-estruturas crticas? TH: No! Definitivamente no! Claro que isto a minha opinio, mas o pessoal que esteve na minha ultima apresentao da confraria acho que capaz de concordar comigo. Gostava de te dar uma resposta mais completa neste ponto pois tenho imenso para dizer, principalmente porque uma das investigaes que a PTCoreSec anda a fazer de momento relacionada com este tpico e ir ser apresentada no Codebits. (Link: https://codebits.eu/intra/s/proposal/279 ) Eu dei uma verso muitoooooo simples desta talk na confraria, e essa verso s por si, na minha opinio, provou que no - Portugal no est preparado para ataques a sua infra-estrutura. Apesar de se estar a atravessar uma crise econmica,e na minha opinio, Portugal devia estar j a avanar com um programa parecido com o que o UK tem de momento pelo GCHQ para recrutar cyberwarriors (odeio esta palavra). Seria um cenrio interessante (do ponto de vista de um analista) se consegussemos sair da crise mas 50/60% das nossas mquinas estivessem sob controlo de chineses ou russos e uma guerra rebentasse com um desses pases. DS: Devemos apostar na educao e na formao dos portugueses para tornar o pas mais seguro? TH: Sim, o estado j deveria ter criado para o pblico, gratuitamente ou a um preo simblico, um conjunto de cursos sobre o uso seguro da internet (principalmente com os casos que aconteceram nos 2 ltimos anos, com os ataques dos Lulzsec e algumas aces (DDoS) por parte dos anonymous). Importante tambm era a formao dos media nesta rea. Na minha opinio os media no souberam reportar de maneira correcta estes casos e explicar o que aconteceu de maneira que todo o publico pudesse entender. Caso nos arranjem os fundos, a PTCoreSec oferece-se para criar os materiais e programas destes cursos! DS: Qual o prximo "big step" dos PTCoreSec? TH: O nosso prximo big step Temos vrios: Ajuda no desenvolvimento da Bsides Lisbon 2013 Criao de um podcast de segurana portugus Lanamento de alguns servios nos prximos meses que estamos agora a desenvolver. Os domnios associados a estes servios sero infosec.pt e portugalseguro.pt ! Conseguirmos obter alguns fundos para mais recursos (servidores e material), para podermos avanar um bocado mais no que fazemos. Organizao paga de CTFs e eventos red team/blue team em empresas que despertem o interesse. Participao em CTFs internacionais

DS: Para terminar esta entrevista, e como tem sido hbito nas ltimas entrevistas, tens algumas palavras finais para os leitores do WebSegura.net? TH: Projectos como a PTCoreSec, o Websegura e o Portugal-a-programar so de louvar. importante que continuem a evoluir e a atrair mais pessoas. As empresas deveriam tambm comear a evoluir e serem corporate + research - eu sei que existe pessoal interessado nisto nas vossas empresas e que provavelmente s pediriam material para trabalharem e no pagamentos extra. No deixem este pessoal desanimar ou tornar-se ovelhas trabalhadoras das 9-5.